アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)が毎年11月に推進する「重要インフラのセキュリティとレジリエンス月間」は、重大な現実を浮き彫りにしています。州や地方自治体は、重要なインフラプロバイダーとして、将来の混乱に備えて継続的に準備をし、投資をしなければならないということです。
同月間は、サイバーセキュリティのレジリエンスに焦点を当てていますが、より広い範囲を認識することも重要です。企業は、事業運営、顧客とのやり取り、コミュニティの福祉に影響を与える可能性のあるさまざまなインシデントに常に備えておく必要があります。最近、物理的な世界と仮想の世界の両方が次のような影響を受ける可能性があることが示されました。
ハリケーン「ヘレン」などの自然災害が発生すると、復旧が困難な社会的脆弱地域が壊滅する
貨物船が衝突してメリーランドのキーブリッジが崩壊する事故が発生し、ボルチモア港で交通や業務が混乱した
バルト海ケーブル切断など、世界のインターネットトラフィックフローに影響を与える可能性のある意図的な攻撃
機密性の高い政府の会話を盗聴するために、国内のトップクラスの通信プロバイダーの多くに侵入したSalt Typhoonなどのサプライチェーン攻撃
私たちが生きる、ハイパーコネクテッド世界では、このようなイベントはローカルエリアをはるかに超えて到達し、予期せぬ状況を引き起こします。
私たちのデジタルワールドは、一部のイベントに対するレジリエンスを提供することができます。たとえば、自然災害が発生した場合に分散した従業員をサポートすることができます。もちろん、この同じデジタルワールドも、Log4jのようなマルウェアや最近のランサムウェア攻撃による障害で見られるように、地域社会を超えて、世界中の人々に悪影響を与える可能性があります。
インターネットは、つながりを支える重要な手段となっているため、非常事態時を含め、一貫したサービスを提供するためには、インターネットを保護する必要があります。「レジリエンスへの決意」は、備えの重要性を訴えるスローガンであり、対応と復旧の最前線に立つのは多くの場合、州や地方の機関です。
過去5年間、デジタル行政はほとんどのCIOにとって最優先事項でした。デジタル政府の推進により、これまで以上に透明性が高まり、政府サービスへのアクセスが容易になりました。
デジタル行政への進化は、顧客体験に大きなメリットをもたらしています。実際の例として、地元の運輸局(DMV)での手続き(運転免許の更新など)を考えてみると、多くのサービスがデジタル化されオンラインで完結するようになり、DMVを訪れる機会は減少しました(それに伴い、かつては当たり前だった長蛇の列も、オンライン化によってほぼなくなりました)。
インターネットは、デジタル化の主要な構成要素の1つです。インターネットは、ほとんどの政府機関にとって不可欠なインフラであり、市民との主要な接点となっています。また、SaaS(Software as a Service)とハイブリッドワークフォースの普及により、内部作業やコラボレーションの手段でもあります。こうしたインターネットへの依存度の高さは、IT部門に新たな要件をもたらす一方で、設計が適切でない場合には深刻な影響を及ぼす可能性もあります。
たとえば、分散型サービス拒否(DDoS)攻撃によって機関のインターネット接続が失われた場合を想像してみましょう。職員や請負業者は業務ツールへのアクセスを失い、住民はオンラインサービスを利用できなくなります。行政サービスがWebを通じて提供される割合が増えるにつれ、システム障害の影響はより広範囲に及ぶようになります。
しかし、州や地方自治体のリーダーとして、インターネット上の資産をどのように保護すればよいでしょうか?顧客体験を最適化し、ユーザーのIDとデータを保護するにはどうすればよいでしょうか?
実は、想像以上に多くのコントロールが可能です。そして、2025年のサイバーレジリエンス計画の一環として、インターネットサービスを強化することは不可欠です。行政機関が具体的に取り組むべき重点領域として、DNSインフラの見直し、WebアプリケーションやAPIサービスのセキュリティ強化、そして最新のネットワークサービスの評価が挙げられます。
ドメインネームシステム(DNS)サービスは、州政府および地方自治体のサイバーセキュリティおよび運用インフラストラクチャの重要な要素であるにもかかわらず、見落とされがちな要素です。人間が読み取れるWebサイトのアドレスをIPアドレスに変換するこれらのサービスは、政府機関のデジタルサービスのセキュリティ、信頼性、およびアクセシビリティを維持する上で重要な役割を果たします。
最新のDNSサービスは、DNSポイズニング、ドメインハイジャック、データ流出の試みなど、さまざまなサイバー脅威からの保護に役立つ重要なセキュリティ機能を提供します。重要なのは、DNSがサイバー脅威に対する防衛の最初の一手となることが多いということです。最新のDNSサービスは、悪意のあるトラフィックが実際に政府のネットワークに到達する前に検出してブロックすることができます。
DNSサービスは、セキュリティだけでなく、州政府機関や地方自治体機関に以下のような利点をもたらします。
重要なオンラインサービスの可用性を維持する
より良いサービス提供のために地理的負荷分散を実装する
ネットワークトラフィックのパターンを監視し、分析する
DNSを最新化し、DNSプロバイダーを最大限活用することでレジリエンスへの決意を固めましょう。その方法をご紹介します。
.govのトップレベルドメイン(TLD)を採用する。レジリエンスと信頼性は表裏一体であり、.govドメインを使用することで信頼性が向上します。一部の州はすでに対策を講じています。たとえば、カリフォルニア州のAssembly Bill 1637(AB 1637)では、2029年1月1日までに完全な移行を義務づけています。
プロテクティブDNSを使用する。プロテクティブDNSとは、既存のDNSプロトコルとアーキテクチャを活用して、DNSクエリを分析し、脅威を軽減するためのアクションを実行するセキュリティサービスです。プロテクティブDNSは、マルウェア、ランサムウェア、フィッシング攻撃、ウイルス、悪意のあるサイト、スパイウェアへのアクセスをソースで防止し、ネットワークを本質的により安全にします。
DNSインフラを守る。当社では、監査ログを定期的に見直したり、多要素認証(MFA)を追加したりするなど、DNSインフラの安全性を確保する措置を講じることをお勧めしています。また、政府機関の通信の保護を強化するために、政府機関は、プロバイダーがDNSセキュリティ拡張機能を実装し、暗号化DNSプロトコルに移行するようにする必要があります。
政府機関は、WebアプリケーションとAPI(アプリケーションプログラミングインターフェイス)の保護という、新たなサイバーセキュリティの最前線に立つことが増えています。WebアプリケーションとAPIは今や、税務申告から福利厚生管理まで、住民が行政サービスとやり取りする主要な手段であるため、これらのデジタルインターフェースは毎日数百万件の機密性の高い取引を処理しています。セキュリティは、一般市民の信頼を維持するために最重要です。
一方、WebアプリケーションやAPIへの攻撃は過去最高に拡大しています。2022年には、1日あたり4億件を超えるWebアプリケーションとAPIへの攻撃が記録されています。
従来の境界型セキュリティでは不十分なのです。州政府および地方自治体のサイバーセキュリティを強化するには、次のような最新の脅威から保護できる包括的なアプリケーションおよびAPIセキュリティ対策が必要です。
政府機関のサービスを標的にした高度なボット攻撃
機密データを暴露する可能性のあるAPI固有の脆弱性
サードパーティ統合によるサプライチェーン攻撃
アプリケーションのフレームワークを標的とするZero Day脆弱性の悪用
Gartnerは、クラウドWebアプリケーションとAPIの保護(WAAP)を、ホスト場所を問わずWebアプリケーションを保護するために設計されたセキュリティソリューションのカテゴリと定義しています。これらのサービスは通常、Webベースのアプリケーションに対する幅広いランタイム攻撃から保護する一連のセキュリティモジュールとして提供されています。
以下の手順でWAAPツールを活用し、顧客アプリケーションを確実に保護することにより、レジリエンスへの決意を固めましょう。
コンテンツ配信ネットワーク(CDN)を活用してDDoS攻撃から保護し、負荷分散によってレジリエンスを高める
Webアプリケーションファイアウォール(WAF)サービスを実装して、HTTPトラフィックをフィルタリング・監視し、悪意のあるボットやWebクローラーから保護する
アプリケーションとAPIに強力な認証と認可コントロールを使用する
APIゲートウェイによるAPIトラフィックの安全を確保し、監視して管理する
継続的なセキュリティテストと脆弱性評価を実施する
ご利用のプロバイダーのリアルタイムの脅威検出と対応機能を評価する
全米州CIO協会のトップ10リストでは、レガシーシステムの最新化が常に取り上げられています。最新化が常に求められている理由は明白です。たとえば、企業は依然として旧式でサービス対象外のインフラコンポーネントを使用し続けており、IT部門は過去10年間にIT環境で起こった驚くべきアーキテクチャの変化に対応できていないことがよくあります。これらの変化は、SaaSアプリケーションへの移行、クラウドによるデータセンターの置き換え、ハイブリッドワーカーの普及によって引き起こされました。これらすべての要因により、データ/トラフィックの流れが「80%社内 / 20%社外」から「20%社内 / 80%社外」へと逆転しました。この大きな変化に伴い、従来のハブアンドスポーク型ルーターに依存したネットワークは、そのままでは適応できず、新しいアーキテクチャへの移行が求められています。
ほとんどの政府機関や民間企業は、ネットワークインフラストラクチャの最新化に同じように取り組んでいます。現在、ほとんどのITアセットとユーザーは企業ネットワークではなくインターネット上にあるため、従来のMPLSネットワークをWANとしてのインターネットで補強または置き換えることは、パフォーマンスとコストの観点から理にかなっています。そのようなインフラコンポーネントを加速化、最適化、保護するためにクラウドベースのサービスを採用することは、セキュリティと使用の観点から理にかなっています。この最新のアプローチは、最新のアプリケーション配信のために最適化されたスケーラブルな帯域幅を提供し、レジリエンスを備えているために、複雑さとコストを削減します。
今日のネットワークレジリエンスは、サービスとして提供することができます。これは、データセンターやアプリケーションが長年にわたってサービス(IaaSおよびSaaS)として提供されてきた方法と同様です。行政機関は、サービスとしてのWAN、サービスとしてのファイアウォール、DDoS攻撃対策、SASEフレームワークを実装することができます。行政機関のバックボーン、または少なくともバックボーンの一部としてインターネットを使うことは可能であり、よく推奨されます。
メリットとしては、内蔵型のレジリエンスとスケーラビリティなどがあります。ケーブル切断、データセンターの障害、大規模なDDoS攻撃でさえ、アップタイムやパフォーマンスに影響することはありません。行政機関は、ハードウェアの運用や保守にかかるコストや複雑さを伴わず、ネットワークを保護、接続し、高速化することができます。
政府機関はデジタルサービスを拡大し続ける中で、現代の世界に対応するために、ITアーキテクチャとサイバーセキュリティ戦略を変革する必要があります。この変革には、WebアプリケーションとAPIによって提供される市民向けオンラインサービスの保護も含まれるべきです。一般市民の信頼を維持し、機密情報を保護するためには、安全で一貫性のあるオンラインプレゼンスが不可欠であることに変わりはありません。サイバー脅威が日々進化する中、強固なセキュリティ対策は技術的要件だけでなく、公共サービスに対する基本的な義務となっています。
Cloudflareは、クラウドネイティブサービスの統合プラットフォームを通じて、州政府および地方自治体のほか、公共機関が成果を達成できるよう支援します。政府機関は、さまざまなサイバーセキュリティツールを導入し管理する代わりに、Cloudflareの単一のプラットフォームを使用して、コストと複雑性を管理しながら、あらゆる種類の破壊的な脅威に備え、対処することができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事は当初、ガバメントテクノロジー向けに作成されたものです。
Dan Kent — @danielkent1
フィールドCTO — Cloudflare、パブリックセクター
この記事では、以下のことがわかるようになります。
州や地方自治体が今、将来の混乱に備えなければならない理由
行政サービスの提供におけるインターネットの重要な役割
デジタルインフラストラクチャを強化するための3つのステップ
Cloudflareがどのようにしてお客様の州や地方自治体がサイバーセキュリティの課題に対処できるようになるかについては、『州政府および地方自治体向けのCloudflare』の概要をご覧ください。